• 状态
  • 已锁定 已锁定
  • 回复 2 回复
  • 订户 0 订户
  • 视图 1 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] CC3235SF:CC3235SF:–688 (ASN_NO_SIGNER_E)(使用带有 AWS IoT 插件的独立 Amazon Root CA 1 时)

admin
Guru**** 2812305 points

Other Parts Discussed in Thread: CC3235SF, UNIFLASH

请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/1625552/cc3235sf-cc3235sf--688-asn_no_signer_e-when-using-standalone-amazon-root-ca-1-with-aws-iot-plugin

器件型号: CC3235SF
Thread 中讨论的其他器件: UNIFLASH

尊敬的 TI 支持团队:

我正在使用 CC3235SF 通信 AWS IoT 插件

我的目标是使用对连接进行身份验证 仅亚马逊根 CA 1. 作为信任锚、特别是绕过传统的 Starfield Class 2 / G2 交叉签名链。 尽管我做了很多努力、网络处理器 (NWP) 仍会返回错误 –688 (ASN_NO_SIGNER_E) 安全身份验证。

当前环境和配置:

  • 硬件: CC3235SF

  • SDK/Service Pack:simplelink_cc32xx_sdk_6_10_00_05/sp_4.13.0.2_3.7.0.1_3.1.0.26

  • 端点: 使用 ATS 要求的端点xxxx-ats.iot.us-west-2.amazonaws.com ()。

  • 根 CA 文件: DER 格式的 AmazonRootCA1、通过 UniFlash 刷写。

  • 套接字设置: *SLNETSOCK_SEC_ATTRIB_DISABLE_CERT_STORE设置为 1. (确保不使用内部 Starfield 存储)。

    • SLNETSOCK_SEC_ATTRIB_DOMAIN_NAMEATS 端点。

我已经确认证书是自签名版本、器件时钟同步。

问题: 应如何配置 AWS IoT 插件 要信任独立的 Amazon Root CA 1 der/PEM 文件作为主要信任锚?

  • 0
    TI__Guru**** 2812305 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    添加 openssl 命令结果


    OpenSSL 验证命令: openssl s_client -connect xxxx-ats.iot.us-west-2.amazonaws.com:8883 -CAfile AmazonRootCA1.pem

    OpenSSL 结果: 

    CONNECTED(00000208)
depth=2 C = US, O = Amazon, CN = Amazon Root CA 1
verify return:1
depth=1 C = US, O = Amazon, CN = Amazon RSA 2048 M04
verify return:1
depth=0 CN = *.iot.us-west-2.amazonaws.com
verify return:1
---
Certificate chain
 0 s:CN = *.iot.us-west-2.amazonaws.com
   i:C = US, O = Amazon, CN = Amazon RSA 2048 M04
 1 s:C = US, O = Amazon, CN = Amazon RSA 2048 M04
   i:C = US, O = Amazon, CN = Amazon Root CA 1
 2 s:C = US, O = Amazon, CN = Amazon Root CA 1
   i:C = US, ST = Arizona, L = Scottsdale, O = "Starfield Technologies, Inc.", CN = Starfield Services Root Certificate Authority - G2
---
Verification: OK
Verify return code: 0 (ok)

    Key Observation:在上面的日志中、服务器显示 Starfield G2 发布的深度 2。 OpenSSL 忽略 Starfield 颁发者、因为它Amazon Root CA 1在中找到匹配的 Self-Signed。 -CAfile

  • 0
    TI__Guru**** 2812305 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:

    您似乎遇到了与此 主题中其他客户相同的错误

    如上所述、Starfield 是该链的最终颁发者、因此我们的设备预计会提供该证书。 即使 Amazon Root CA 是自签名的、它也不会将其识别为根 CA。

    什么因素会阻止您使用 Starfield 证书?